SØK
TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#056-2021] [TLP:CLEAR] Sikkerhetsoppdateringer er ikke tilstrekkelig for å hindre utnyttelse av Windows "Print Spooler"-sårbarheten "PrintNightmare"

23-08-2021

JustisCERT ønsker å minne om følgende for sårbarheten "PrintNightmare" i Windows sin "Print Spooler"-tjeneste som omtalt i varsler [1][2][3][4][5].

 

  • Microsoft servere og klienter som kun har installert nyeste Microsoft Security Update er fremdeles sårbare for "PrintNightmare"
  • For å være beskyttet mot "PrintNightmare" må "Print Spooler"-tjenesten stoppes og "Startup type/Oppstartstype" må settes til "Disabled/Deaktivert" på alle Microsoft servere og klienter. Se anbefaling fra Microsoft [6]

 

Sårbarheten "PrintNightmare" tillater angriper å kjøre vilkårlig kode for å tilegne seg full tilgang på et berørt Windows-system. JustisCERT er kjent med at utnyttelseskode er tilgjengelig og i bruk.

 


Berørte produkter er:

  • Windows klienter og servere

 
 
Anbefalinger:

  • Installer de nyeste sikkerhetsoppdateringene fra Microsoft hver måned
  • Stopp "Print Spooler"-tjenesten og sett "Startup type/Oppstartstype" til "Disabled/Deaktivert" på enten:
    • Alle servere og klienter for å få full beskyttelse (utskrift vil da ikke være mulig)
    • Alle servere og klienter bortsett fra de som trenger utskrift (systemer som kan skrive ut vil da forbli sårbare)
  • Ikke eksponer servere med aktivert ("Running/Kjører") "Print Spooler"-tjeneste mot internett, gjestenett eller nett man anser som usikre/ikke stoler på. Sørg for at "Print Spooler"-tjenesten er stoppet og "Startup type/Oppstartstype" er satt til "Disabled/Deaktivert" på disse.
  • Sørg for at alle eksisterende og nye servere har en policy/GPO som sikrer at "Print Spooler"-tjenesten er stoppet og "Startup type/Oppstartstype" er satt til "Disabled/Deaktivert", bortsett fra på de få serverne som eventuelt benyttes som print-servere eller tilbyr et skrivebord (remote desktop miljø) til virksomhetens brukere der det er behov for å skrive ut. 
    • GPO for å deaktivere "Print Spooler"-tjenesten: Computer Configuration > Windows Settings > Security Settings > System Services > Print Spooler. Huk av for "Define this policy setting" og velg "Disabled".
  • For virksomhetens viktigste/utsatte servere (domenkontrollere, databaseservere, servere eksponert mot internett/usikre soner med mer) bør alle tjenester som ikke er helt nødvendig (blant annet "Print Spooler"-tjenesten) være "Disabled/Deaktivert"
  • Prioriter servere som er eksponert mot internett og virksomhetens viktigste servere først

 


Kilder:
[1] [JustisCERT-varsel] [#045-2021] 
[2] [JustisCERT-varsel] [#047-2021] 
[3] [JustisCERT-varsel] [#048-2021]
[4] [JustisCERT-varsel] [#049-2021]
[5] [JustisCERT-varsel] [#054-2021]
[6] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958